Moi qui pensais avoir été clair dès le départ : j'ai dit dès le début que c'était un site statique. C'est exactement le fonctionnement sauf
- que le message apparait que dans certains cas de figure
- change en fonction des mots clef utilisés dans les champs également ! (c'est pour ça que j'ai dit dès le départ : si tu as essayé l'injection vraiment, tu as pu voir que ça ne peut pas marcher), en effet en sus des caractères si certaines chaines étaient détectées (insert, select, delete, etc...) on a droit à un message d'erreur différent, voir à un gag qui simulait carrément l'affichage d'un shell root...
Et pour finir, je faisais la remarque que c'est en place depuis des années, mais tous ceux qui l'ont fait avant étaient allés "plus loin", en testant vraiment l'injection (ce qui n'a pas du être essayé ici), et comprenent donc le jeu au bout d'un moment.
D'ailleurs, si vous avez sauvegardé les pages html qui renvoient les fausses erreurs php, il y a des commentaires html dans la page pour indiquer qu'il s'agit d'une "arnaque" genre // celle là c'est un poisson. Il suffit de faire "afficher le source", ça y est pas dans doute mais dans 90%, donc si vous avez fait plusieurs tests, affichez le source et vous verrez..
[^] # Re: Base de données
Posté par Christophe Casalegno . En réponse à la dépêche Mandriva Linux et après ? Mageia !. Évalué à 2.
- que le message apparait que dans certains cas de figure
- change en fonction des mots clef utilisés dans les champs également ! (c'est pour ça que j'ai dit dès le départ : si tu as essayé l'injection vraiment, tu as pu voir que ça ne peut pas marcher), en effet en sus des caractères si certaines chaines étaient détectées (insert, select, delete, etc...) on a droit à un message d'erreur différent, voir à un gag qui simulait carrément l'affichage d'un shell root...
Il y a même des check alétoire en fonction des ips qui va vérifier sur une liste de proxy (if ip = bla bla htt http://www.digital-network.net/cache.html), etc..
Et pour finir, je faisais la remarque que c'est en place depuis des années, mais tous ceux qui l'ont fait avant étaient allés "plus loin", en testant vraiment l'injection (ce qui n'a pas du être essayé ici), et comprenent donc le jeu au bout d'un moment.
D'ailleurs, si vous avez sauvegardé les pages html qui renvoient les fausses erreurs php, il y a des commentaires html dans la page pour indiquer qu'il s'agit d'une "arnaque" genre // celle là c'est un poisson. Il suffit de faire "afficher le source", ça y est pas dans doute mais dans 90%, donc si vous avez fait plusieurs tests, affichez le source et vous verrez..